Intégrer des groupes dans Privileged Identity Management

Dans Microsoft Entra ID, vous pouvez utiliser Privileged Identity Management (PIM) pour gérer l’appartenance juste-à-temps au groupe ou la propriété juste-à-temps du groupe. Les groupes peuvent être utilisés pour fournir l’accès aux rôles Microsoft Entra, aux rôles Azure et dans différents autres scénarios. Pour gérer un groupe Microsoft Entra dans PIM, vous devez le placer sous la gestion de PIM.

Identifier les groupes à gérer

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Avant de commencer, vous avez besoin d’un groupe de sécurité Microsoft Entra ou d’un groupe Microsoft 365. Pour en savoir plus sur la gestion des groupes dans Microsoft Entra ID, consultez Gérer les groupes Microsoft Entra et l’appartenance au groupe.

Les groupes dynamiques et les groupes synchronisés depuis un environnement local ne peuvent pas être gérés dans PIM pour les groupes.

Vous avez besoin des autorisations appropriées pour importer des groupes dans Microsoft Entra PIM. Pour les groupes auxquels des rôles peuvent être attribués, vous devez disposer au minimum du rôle Administrateur de rôles privilégiés ou être propriétaire du groupe. Pour les groupes non attribuables à un rôle, vous devez au minimum disposer du rôle Enregistreur d’annuaires, Administrateur de groupes, Administrateur de gouvernance d’identité, Administrateur d’utilisateurs ou être propriétaire du groupe. Les attributions de rôles pour les administrateurs doivent être limitées au niveau du répertoire (et non au niveau de l'unité administrative).

Remarque

D’autres rôles disposant d’autorisations pour gérer des groupes (tels que les administrateurs Exchange pour les groupes M365 non assignables par rôle) et les administrateurs dont les affectations sont limitées au niveau de l’unité administrative peuvent gérer des groupes via API Groupes/UX et remplacer les modifications apportées dans Microsoft Entra PIM.

  1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Gouvernance d’identité>Privileged Identity Management>Groupes.

  3. Vous pouvez visualiser ici les groupes déjà activés pour PIM pour les groupes.

    Capture d’écran montrant où visualiser les groupes déjà activés pour PIM pour les groupes.

  4. Sélectionnez Découvrir les groupes, puis sélectionnez un groupe que vous souhaitez placer sous gestion avec PIM.

    Capture d’écran montrant où sélectionner un groupe que vous voulez placer sous gestion avec PIM.

  5. Sélectionnez Gérer les groupes, puis OK.

  6. Sélectionnez Groupes pour revenir à la liste des groupes activés dans PIM pour les groupes.

Sinon, vous pouvez également utiliser le volet Groupes pour amener le groupe sous Gestion des identités privilégiées.

Capture d’écran du volet Groupes, montrant où sélectionner un groupe à placer sous gestion avec PIM.

Important

Une fois qu’un groupe est géré, il ne peut pas être supprimé de la gestion. Cela empêche tout autre administrateur de ressources de supprimer des paramètres de PIM. Si un groupe est supprimé de Microsoft Entra ID, la suppression du groupe de l’option PIM pour les Groupes peut prendre jusqu’à 24 heures.

Étapes suivantes